Tính năng quét mã tự động này dựa trên các công cụ kiểm tra mã mà GitHub đã mua năm 2019 khi mua lại công ty Semmle (Anh), cho phép tự động vẽ biểu đồ và dò quét mã khi có yêu cầu gửi mã nguồn mới lên kho lưu trữ, cũng như kiểm tra một số lỗi phổ biến có thể gây ra lỗ hổng bảo mật.
Giám đốc sản phẩm cao cấp của GitHub - Justin Hutchings nói rằng, một thành phần quan trọng trong quá trình quét mã của Semmle (giờ là GitHub) là CodeQL, ngôn ngữ truy vấn biểu đồ và kiểm tra mã lỗi. Tính năng này rất hữu ích trong việc bảo mật. Bởi hầu hết các vấn đề bảo mật liên quan đến luồng dữ liệu xấu hoặc sử dụng dữ liệu xấu theo một cách nào đó.
Mặc dù tính năng này đối với GitHub là mới, nhưng các công cụ Semmle đã được sử dụng trong thời gian dài. Đó là lý do GitHub tin rằng chúng sẽ hoạt động hiệu quả khi khởi chạy miễn phí cho các dự án nguồn mở và như một tiện ích bổ sung cho phần đóng, trả tiền dành cho doanh nghiệp của GitHub.
Tuy tính năng quét mã có thể hiệu quả nhất đối với các dự án nhỏ không có đủ thời gian kiểm tra lỗi kỹ lưỡng, thì Hutchings lưu ý rằng, bằng cách đưa tính năng lên đám mây, các nhà phát triển lớn cũng sẽ hưởng lợi từ điều này. "Rất nhiều khách hàng thương mại của chúng tôi tỏ ra hào hứng về việc có thể thực hiện tính năng này ở quy mô lớn trên đám mây", ông cho biết thêm.
Phân tích bảo mật tốn rất nhiều năng lực tính toán vì phải xử lý hàng triệu dòng mã. Các nhà phát triển đều muốn thực hiện điều này một cách nhanh chóng. Việc làm này của Github đã mang tới khả năng đánh giá trên một môi trường đám mây, giúp tính năng này trở nên nhanh hơn so với trước đây.
Ngoài việc quét lỗ hổng bảo mật, GitHub cũng đang bổ sung thêm tùy chọn cho các nhà phát triển thương mại để quét các kho lưu trữ ngoại tuyến và tìm các thông tin bí mật có thể bị lộ lọt (khóa, thông tin đăng nhập,...) dẫn đến xâm nhập mạng và rò rỉ dữ liệu. Vốn trước đây chỉ giới hạn ở các kho lưu trữ công cộng (như AWS hoặc Google Cloud), thì tính năng quét thông tin bí mật giờ đây sẽ có thể thực hiện trên các kho lưu trữ GitHub riêng tư.
Ngoài ra, Hutchings cho biết, đây không chỉ là một tính năng bảo mật mà còn là một tính năng ổn định, vì nó giúp các nhà phát triển thực hiện được các chính sách bảo mật yêu cầu thay đổi khóa định kỳ bằng cách theo dõi và ghi lại các thay đổi. Theo cách này, các nhà phát triển có thể ngăn chặn sự cố ngừng hoạt động có thể xảy ra khi các thay đổi khóa không được báo cáo và xử lý đúng cách.
Nguyễn Anh Tuấn
(Theo Register)
11:00 | 16/04/2020
07:00 | 04/05/2020
14:00 | 22/02/2024
09:00 | 14/04/2020
13:00 | 09/10/2024
Một vụ lừa đảo gây chấn động thị trường âm nhạc Mỹ và thế giới vừa bị phá vỡ. Cục Điều tra liên bang Mỹ (FBI) thông báo đã bắt giữ Michael Smith, 52 tuổi, một nhà sản xuất âm nhạc có tiếng tăm trên các nền tảng như Spotify, Amazon và Apple Music, với cáo buộc lừa dối và thu lợi bất chính hàng triệu USD tiền bản quyền bằng các bài hát do trí tuệ nhân tạo (AI) tạo ra.
10:00 | 04/10/2024
Noyb - Tổ chức phi lợi nhuận tập trung vào quyền riêng tư kỹ thuật số có trụ sở tại Vienna (Áo) đã đệ đơn khiếu nại lên Cơ quan bảo vệ dữ liệu Áo, cáo buộc Mozilla âm thầm kích hoạt tính năng theo dõi người dùng trên trình duyệt Firefox mà không được sự đồng ý.
15:00 | 30/09/2024
Bản tin podcast ngày hôm nay, mời quý vị và các bạn ngược dòng lịch sử trở về sau 2 năm kể từ ngày Hiệp định Giơnevơ được ký kết, cuộc đấu tranh của nhân dân miền Nam đòi thi hành Hiệp định, tổng tuyển cử thống nhất Tổ quốc ngày càng phát triển. Trong bối cảnh đó, các tổ chức Cơ yếu miền Nam khôi phục, phát triển phục vụ bảo mật thông tin trong phong trào Đồng khởi 1960.
12:00 | 08/09/2024
Sau đây là một số dấu mốc quan trọng, tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 08 tháng 9 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
Trong 02 ngày 09 và 10/10, tại Hà Nội, Cục Cơ yếu Bộ Tổng Tham mưu tổ chức Hội nghị tập huấn nghiệp vụ công tác quản lý xây dựng lực lượng Cơ yếu Quân đội năm 2024. Thiếu tướng Hoàng Văn Quân, Cục trưởng Cục Cơ yếu Bộ Tổng tham mưu dự và chỉ đạo Hội nghị.
08:00 | 11/10/2024
Ngày 19/9/2024, tại Hà Nội, Chi hội Nhà báo Tạp chí An toàn thông tin đã tổ chức thành công Đại hội Chi hội nhiệm kỳ 2024 - 2027.
07:00 | 20/09/2024
Một vụ lừa đảo gây chấn động thị trường âm nhạc Mỹ và thế giới vừa bị phá vỡ. Cục Điều tra liên bang Mỹ (FBI) thông báo đã bắt giữ Michael Smith, 52 tuổi, một nhà sản xuất âm nhạc có tiếng tăm trên các nền tảng như Spotify, Amazon và Apple Music, với cáo buộc lừa dối và thu lợi bất chính hàng triệu USD tiền bản quyền bằng các bài hát do trí tuệ nhân tạo (AI) tạo ra.
13:00 | 09/10/2024